16.1.4　基本方法

要在合理的精力和时间范围给出最完备的安全解决方案，我们需要描述一个由两部分组成的方法。第一部分主要是遵循到目前已经讨论的内容：如果计划应用的安全保护以及设计能够实现安全性的特性。我们将这种方法叫做自上而下的方法。

相反，第二部分的方法可以称作自下而上的方法。在这种方法中，我们将面向应用的各个组成模块，例如数据库服务器，服务器本身以及应用运行的网络环境。我们不仅需要确保与这些组件的交互是安全的，安装和配置这些组件同样是安全的。许多产品安装后的配置是可供攻击，因此我们需要了解这些并加以修正。